20% крупнейших в мире сайтов не используют протокол HTTPS с поддержкой шифрования
20% крупнейших в мире сайтов не используют протокол HTTPS с поддержкой шифрования
20% крупнейших в мире сайтов не используют протокол HTTPS с поддержкой шифрования, несмотря на ограничения, которые с которыми они сталкиваются в связи с этим.
По данным Google, 79 из 100 наиболее популярных веб-ресурсов, не связанных с компанией, не используют сертификат для защищенных HTTPS-соединений. Такую безопасность игнорируют, в частности, крупнейшая в мире база данных и интернет-портал о кинематографе IMDB и газета The New York Times. Правда, HTTP применяется не на всех страницах сайтов указанных и других крупных компаний.
Авторы рейтинга Alexa, собирающие статистику о посещаемости сайтов, составили список ресурсов, которые автоматически не перенаправляют небезопасные запросы в ответ на безопасные. Данные Google подтверждаются: 20% из наиболее посещаемых сайтов относятся к разряду небезопасных.
Значок защищенного соединения HTTPS стал стандартным и даже необходимым атрибутом любого серьезного сайта. Если сертификат отсутствует, почти все последние браузеры показывают предупреждение, что соединение с сайтом «не защищено» и не рекомендуют передавать на него конфиденциальную информацию. Отсутствие HTTPS влияет на позиции в поисковой выдаче и оказывает существенно негативное влияние на приватность в целом.
Раньше внедрение HTTPS было весьма дорогостоящим для сайтов, особенно небольших, но к апрелю 2019 года работает множество компаний, предлагающих бесплатную и очень быструю установку SSL-сертификатов. Например, можно отметить сервис Lets's Encrypt, обеспечивающий автоматическую выдачу бесплатных сертификатов для TLS-шифрования и поддерживаемый Google на правах платинового члена.
Однако крупные сайты не спешат полностью переходить на HTTPS, считая эту миграцию технически сложной и зачастую невыгодной. Планируя такой переход, компании, как правило, задают себе несколько вопросов: «Не станет ли сеть доставки дороже в случае с HTTPS?», «Будет ли сторонний контент на сайте включать HTTPS?» и др. Компании приходится проводить множество тестирований и исправлять многочисленные ошибки перед тем, как протокол начнет нормально функционировать.
Если HTML-ресурсы, которые предоставляет компания, имеют ссылки (картинки, скрипты…) на разные хосты и не используются относительные URL, то переход на HTTPS осложняется.
Установка HTTPS может немного пугать неподготовленного пользователя — она требует многих шагов с участием различных сторон, а также специфических знаний криптографии и серверных конфигураций, да и вообще в целом кажется сложной.
Кроме того, по словам эксперта в области информационной безопасности Malwarebytes, HTTPS не гарантирует 100-процентную безопасность. Например, некоторые сайты могут задействовать протокол на главной странице, но не включить его в другие страницы и сервисы
Проверка 10 000 ведущих сайтов из рейтинга Alexa показала следующее: многие из них подвержены критическим уязвимостям протоколов SSL/TLS, обычно через поддомены или зависимости. Уязвимые криптографические конфигурации выявлены на 5574 хостах, то есть примерно на 5,5% от общего количества.
По словам авторов исследования, сложность современных веб-приложений многократно увеличивает поверхность атаки. Проблему усугубляет отсутствие официально одобренного и согласованного списка рекомендуемых настроек HTTPS. Так, Mozilla SSL Configuration Generator предлагает несколько вариантов конфигурации в зависимости от требуемого уровня защиты.